Oi pessoal

A umas semanas a nossa rede foi infectada por um virus que tanto o kaspersky 6.3 for workstations como o kasperky 6.3 for Windows Servers nao detecta mesmo com as ultimas actualizacoes. Desisntalei o kasperky 6.3 for Windows Servers num dos servidores e instalei o symantec antivirus 10 e detectou um virus chamado W32.voterai e o colocou sob quarentena.
Manualmente removemos assim:

1.Terminar o processo iniciado por vírus no task manager, geralmente aparece com o nome de um ficheiro do utilizador (ficheiros em Word convertidos em exe);
2.Ir para o regedit (start\run e escrever regedit e fazer enter). Aqui naveguem no caminho HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion\Run e eliminar as chaves que correspondem aos nomes de processos encontrados no task manager;
3.Eliminar o Shortcut no C:\Documents and Settings\NomedoUtilizador\Start Menu\Programs\Startup com os nomes de processos encontrados no task manager;
4.Eliminar a imagem gif que aparece no desktop com o nome raila odinga ou nome de um ficheiro existente no Pc;
5.Ir para C:\WINDOWS\system32\drivers e apagar todos ficheiros que aparecem em Word, só os que aparecem em Word e têm os nomes de processos encontrados no task manager;
6.Eliminar a image gif que aparece no desktop com o nome "Raila Odinga.gif"

como temos uma rede de mais de 400 maquinas, este processo eh muito moroso. Eh possivel remover este virus usando produtos da kaspersky Lab?

NB: este virus duplica tudo que apanha nos network drives criando um arquivo exe com os nomes correspondentes aos dos documentos nesses drives.

Neto,

Use um programa como o WinZip, WinRAR, compacte esse vírus que está em quarentena com a senha infected e envie para o laboratório do Kaspersky neste e-mail: newvirus@kaspersky.com.
Quando o pessoal analisar o arquivo e adicionar a vacina ao banco de dados, faça uma verificação com o kaspersky novamente.

DonKid,
fiz como recomendaste mas ainda nao recebi qualquer resposta deles, e obrigado pela atencao

Bom dia a todos,
ultimamente temos enfrentado um virus ... que cria um ficheiro gif no desktop e quanto executado abre varias paginas da Internet com a imagem do tal Raila Odinga.
ja tinha postado antes mas nao tive nenhuma resposta que resolvesse o problema inclusive ja enviei o ficheiro infectado para newvirus@kasperky.com e ate agora nada.
alguem me ajude pls.
encontrei no link abaixo instrucoes que removem manualmente mas como se trata de uma rede com varios Pc a tarefa nao e facil.

http://www.jamiiforums.com/technology-scie...inga-virus.html

estas sao as instrucoes segundo o Forum:

"Well Shy,

I might be mistaken but I do believe if someone follows my instructions can get rid of it.

Technical details

This Trojan has a malicious payload. It is a Windows PE EXE file. The Trojan components may vary in size from 17KB to 286KB.

Installation

Once launched, the Trojan extracts a file with the following name from its body to the current user's desktop:

Raila Odinga.gif

and launches it. The user will see the following image:



The Trojan also copies its executable file to the following directory:
%System%\drivers\RailaOdinga.exe

It also extracts the following file from its body:
%Temp%\nswC.tmp\System.dll

In order to ensure that the Trojan is launched automatically each time the system is booted, the Trojan adds a link to its executable file in the system registry:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] @ = "%System%\drivers\RailaOdinga"

The Trojan also creates the following shortcut:
%Documents and Settings%\Start Menu \Programs\Autorun\RailaOdinga.lnk

When this shortcut is run, the Trojan executable file will be launched.


Payload

The Trojan copies its executable file to all removable media under the following name:

:\smss.exe

It also copies the extracted image:

:\Raila Odinga.gif

stands for the letter of the removable disk.

The Trojan creates an autorun.inf file in the root of the removable disk. This file will automatically launch the Trojan executable file when the user attempts to open the infected disk using Explorer.

The Trojan also recursively copies its executable file to all folders on the removable disk. These copies use the names of files which are located in these folders together with an .exe extension.

Removal instructions

If your computer does not have an up-to-date antivirus, or does not have an antivirus solution at all, follow the instructions below to delete the malicious program:

* Use Task Manager to terminate the Trojan process.
* Delete the original Trojan file (the location will depend on how the program originally penetrated the victim machine).
* Delete the following system registry key parameter:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] @ = "%System%\drivers\RailaOdinga"

* Delete the following files:

%Temp%\nswC.tmp\System.dll %System%\drivers\RailaOdinga.exe %Documents and Settings%\ Start Menu \Programs\Autorun\RailaOdinga.lnk

* Delete the following file from the desktop:

Raila Odinga.gif

* Delete all copies of the Trojan from removable disks.
* Delete the autorun.inf file from the root directory of all removable disks."

Neto,

Por favor não coloque a mesma pergunta em várias partes do fórum.
Fica difícil de saber se foi resolvido ou não.
Você disse que o KIS não detecta esse vírus, mas ele foi adicionado a base de dados em maio/2007.

http://www.viruslist.com/en/viruses/encycl...?virusid=160200

Crie um relatório GSI e um relatório AVZ.

Leia como criar um relatório GSI aqui: http://support.kaspersky.com/faq/?qid=193238548
Depois de criar o relatório, envie para: http://gsi.kaspersky.fr/
Copie e cole o endereço do seu relatório aqui no forum, para podermos analisá-lo.

AVZ log:

http://forum.kaspersky.com/index.php?showtopic=69276

You made some good points there. I did a search on the topic and found most people will agree with your blog.